AI스페라, 정부 주도 SBOM 실증사업 완료

AI 기반 사이버보안 기업 AI스페라(AI SPERA)가 정부 주도로 추진된 SBOM(Software Bill of Materials) 실증사업을 완료했다고 12일 밝혔다. 이번 실증을 통해 국내 소프트웨어 공급망 보안 체계에 SBOM을 실제 서비스 환경에 적용한 사례를 확보했다. SBOM은 소프트웨어를 구성하는 오픈소스 및 서드파티 라이브러리의 출처, 버전, 라이선스 정보를 체계적으로 관리하는 방식으로, 글로벌 공급망 보안 기준으로 활용되고 있다. 미국과 유럽에서는 정부 조달과 주요 산업을 중심으로 SBOM 제출이 요구되고 있으나, 국내에서는 제도와 기술 적용이 초기 단계에 머물러 실증 사례가 제한적이었다. AI스페라는 이번 실증사업에서 자사 공격표면관리(ASM) 및 위협 인텔리전스 플랫폼인 ‘Criminal IP(크리미널 IP)’에 SBOM 체계를 연계해 공급망 보안을 자동화된 운영 모델로 구현했다. 크리미널 IP에는 서비스에 포함된 모든 소프트웨어 구성 요소를 식별하고, 각 컴포넌트의 버전, 출처, 라이선스 정보를 관리할 수 있는 구조가 적용됐다. 이를 통해 외부에서 신규 취약점이 공개될 경우 해당 요소의 포함 여부와 영향 범위를 신속히 파악하고, 대응 우선순위를 설정할 수 있는 환경이 구축됐다. 또한 SBOM 기반 자동화 체계를 통해 소프트웨어 자산 관리, 변경 이력 추적, 취약점 대응 과정을 하나의 흐름으로 구조화했다. 해당 체계는 ISO/IEC 27001, SOC 2, PCI DSS, ISMS 등 주요 보안 및 컴플라이언스 요구사항과 함께 NIST 기반 보안 프레임워크, FedRAMP, EU 공급망 투명성 규제에 대응할 수 있도록 설계됐다. 이를 통해 소프트웨어 변경과 관련된 이력 정보를 재현 가능한 데이터로 관리할 수 있는 기반을 마련했다. AI스페라는 이번 실증을 통해 취약점 대응 판단과 조치 시간을 단축하고, 감사 및 규제 대응을 위한 증빙 체계를 확보했다고 설명했다. SBOM과 크리미널 IP를 결합한 운영 모델은 공급망 보안 대응의 일관성과 운영 안정성을 높이는 요소로 평가된다. 강병탁 AI스페라 대표는 “SBOM 도입이 초기 단계인 국내 환경에서 실증을 통해 적용 가능성을 확인했다”며 “기술과 운영을 결합한 공급망 보안 모델을 지속적으로 고도화해 나갈 계획”이라고 밝혔다. 관련 기사 더 보기 https://www.venturesquare.net/1020769/